PIXEL FACEBOOK
logo-blanco

Vulnerabilidades descubiertas en el software Canon Medical Vitrea View

Lo que vas a encontrar...

Los investigadores informaron recientemente sobre varias vulnerabilidades en el software de la herramienta Canon Medical Vitrea View. La explotación de las fallas podría exponer la información del paciente y otros servicios relacionados al atacante. Canon Medical solucionó los problemas después de los informes de errores, lo que obligó a los usuarios a actualizar sus sistemas para recibir las correcciones.

Canon Medical Vitrea Ver vulnerabilidades

Según los informes, los investigadores de Trustwave Spiderlabs descubrieron dos vulnerabilidades diferentes en el software Canon Medical Vitrea View.

Como se explica en su informe, las fallas existían en el software de terceros que impulsa la herramienta Canon Medical que facilita la visualización de imágenes médicas. La explotación de las fallas podría permitir que un adversario acceda a los datos del paciente y otros servicios de Vitrea View.

Específicamente, el primer problema fue una vulnerabilidad de secuencias de comandos entre sitios (XSS) reflejada en el mensaje de error. La falla apareció cuando la página de error en /vitrea-view/error/ reflejaba todas las entradas después del subdirectorio /error/ para el usuario. Aunque tiene algunas restricciones menores, un usuario geek puede omitirlas a través de comillas graves (`) y codificación base64, e importar códigos remotos.

La siguiente vulnerabilidad también se identificó como XSS duplicado, sin embargo, existía en el panel de administración de Vitrea View. Al describir esta vulnerabilidad, los investigadores dijeron:

«La búsqueda de ‘groupID’, ‘offset’ y ‘limit’ en la página ‘Grupo y usuarios’ del panel de administración refleja su entrada al usuario cuando se ingresa texto en lugar de las entradas numéricas esperadas. Como el descubrimiento anterior, reflejado la entrada está ligeramente restringida, ya que no permite espacios.

La explotación de la vulnerabilidad requería que un atacante engañara al usuario objetivo para que otorgara acceso al panel de administración a través de la ingeniería social. Un adversario podría hacer esto fácilmente al enviar un enlace malintencionado al usuario víctima. Luego, hacer clic en el enlace le daría al atacante el control del administrador.

Al explotar las fallas, un atacante podría ver y acceder a los detalles del paciente, incluidas imágenes y escaneos. Asimismo, el adversario podría acceder a las credenciales de servicios sensibles e incluso modificar la información en función de los privilegios obtenidos.

Canon Medical solucionó los defectos

Luego de este descubrimiento, los investigadores de Trustwave informaron de manera responsable las vulnerabilidades a los funcionarios de Canon Medical. En respuesta, los proveedores parcheados implementaron la versión 7.7.6 del software parcheado en sus dispositivos.

Ahora, los investigadores están instando a los usuarios a actualizar sus sistemas a la última versión de software para recibir los parches.

Fuente

Facebook
Twitter
LinkedIn
WhatsApp

Deja una respuesta

Artículos Relacionados

Síguenos